Immaterieller Schaden wegen Verstoßes gegen die DSGVO

Foto: pixabay.com

Der bloße Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) begründet noch keinen Schadenersatzanspruch. Das hat der Gerichtshof der Europäischen Union (EuGH) entschieden.

In dem vorliegenden Fall sammelte die österreichische Post seit dem Jahr 2017 Informationen über die politischen Affinitäten der Bevölkerung in dem Alpenstaat. Mithilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den gesammelten Daten leitete sie ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.

Der Kläger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptete, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrte er die Zahlung von 1000 Euro.

Der österreichische Oberste Gerichtshof äußerte Zweifel an einem solchen Anspruch und wollte vom Europäischen Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreiche, um einen Schadenersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen müsse. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

Der Gerichtshof stellte als Erstes fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen.

Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlauben –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss.

Als Zweites wurde festgestellt, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Das heißt, je nach Beurteilung durch die angerufenen Gerichte könnte die graduelle Abstufung für die Möglichkeit des Schadenersatzes unterschiedlich hoch ausfallen.

Als Drittes stellte der Gerichtshof zu den Regeln für die Bemessung des Schadenersatzes fest, dass sich die DSGVO dem nicht widmet. Daher sind die Ausgestaltung von Klageverfahren und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des gegebenenfalls geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats.

Europäischer Gerichtshof
Urteil vom 4. Mai 2023 – C-300/21